Eine Lizenz zum Geldabheben
Von Uli Ries
Moderne Banking-Trojaner können heutzutage die vermeintlich sichere Transportverschlüsselung umgehen. Sie imitieren per Webinject genau die Bankenseiten des jeweiligen Opfers und finden per „Sicherheitsabfrage“ auch seine Mobilnummer heraus. Dann brauchen die Diebe nur noch eine Ersatz-SIM-Karte (Dual-SIM) zu ordern, mit der sie die TANs abfangen, die wiederum die illegalen Überweisungen freischalten. Das Ganze läuft praktisch vollautomatisch ab.
… räumten Online-Kriminelle 2013 von gehackten Bankkonten in Deutschland ab. Die Summe klingt zunächst wenig beeindruckend, wenn man sie mit anderen Cybercrime-Schadzahlen vergleicht. Aber: Man muss sie mit dem Faktor elf multiplizieren, wie das Bundeskriminalamt in seinem nach wie vor aktuellen Bundeslagebild Cybercrime 2013 schreibt. Und schon stehen 180 Mio. Euro auf der Rechnung. Denn einer amtlichen Schätzung nach werden weniger als 10 % der Fälle überhaupt angezeigt – und was nicht auf dem Tisch der Strafverfolger landet, landet auch in keiner Statistik.
Die Schadsoftware muss dabei sichergehen, dass Bankkonto und Telefon(nummer) zusammengehören. Zu diesem Zweck fordert der Trojaner laut Kaspersky per Web Inject dazu auf, auch den Typ des mobilen Betriebssystems einzugeben. Anschließend wird eine gefälschte Sicherheits-App auf dem Telefon installiert, die einen Code erzeugt. Diesen Code muss das Opfer auch im Browser eingeben – und schon steht das Pairing fest. Der Bankkunde glaubt an einen Sicherheitsmechanismus, die Kriminellen haben die Gewissheit, die richtigen Endgeräte zu kontrollieren.
Infektion durch Erpressung
Einem Fachmann von RSA zufolge nutzen die Kriminellen auch die im Windows-Umfeld grassierenden Ransomware-Kampagnen, um Smartphones mit der ZeuS-Mobilvariante ZitMo zu infizieren: Die Opfer, die ihren bösartig verschlüsselten PC wieder entsperren wollen und bereit sind, dafür zu zahlen, sollen eine App auf ihrem Smartphone installieren. Diese dient zwar wirklich dem Geldtransfer, bringt huckepack aber gleich noch den Banking-Trojaner mit. Die Opfer zahlen dafür, eine Plage loszuwerden, und holen sich – unbemerkt – gleich die nächste Gefahr ins Haus.
„Zertifikat“ klingt gut: Selbst in den offiziellen Play Store von Google schleusten Kriminelle eine als Security-App getarnte Variante von Zeus in the Mobile ein. (Bild: Sophos)
Und nicht nur der Bankenverkehr wird per Smartphone attackiert. Kaspersky hat aus dem Google Play Store heruntergeladene Apps gesichtet, in deren Werbefelder kriminelle Meldungen eingeklinkt waren. Die Einblendungen fragten, ob die Kreditkartendaten des App-Nutzers noch aktuell seien. Nach Klick auf das von der App ansonsten unabhängige Werbebanner wurde das Opfer auf eine Phishing-Seite geschleust.
Der Generalangriff steht noch bevor
Nicht zuletzt das mTAN-Verfahren hat Smartphones für Cyberkriminelle interessant gemacht. So wurde ZeuS schon 2010 mit der Funktion ausgestattet, auf Smartphones die per SMS verschickte TAN abzugreifen. Laut Vanja Svajcer von Sophos ist derzeit trotzdem nur 1 % aller Smartphones mit einer mobilen Banking-Malware infiziert. Zudem gebe es nicht mehr als zehn Varianten von Zeus in the Mobile und keinerlei vor der Infektion geänderte Binärdateien. (Anders als im PC-Umfeld, in dem die Kriminellen ständig neue Wege suchen müssen, um ihre Software unter dem Radar der Antivirensoftware einzufliegen, ist diese Vorsichtsmaßnahme im mobilen Umfeld offenbar noch nicht nötig.)
Laut Svajcer fangen die Malware-Macher gerade erst an, den Code der Mobilschädlinge zu verschleiern (Obfuscation), um einer Entdeckung zu entgehen. Während dies bei Windows-Malware teilweise vor jedem einzelnen Download auf den Rechner des Opfers passiert, beobachten die Sophos-Leute dies bei Android-Schädlingen nur wenige Male pro Tag. Zudem seien die technischen Möglichkeiten, den zugrunde liegenden Java-Programmcode zu verschleiern, auf der Android-Plattform eingeschränkt.
Dual-SIM wird schwieriger …
Dual-SIMs sind mittlerweile nicht mehr so leicht anzufordern wie früher. Dem haben die Mobilfunkprovider im Herbst 2013 einen Riegel vorgeschoben. Auf Nachfragen bestätigten E-Plus, O₂ und Telekom übereinstimmend, dass sie deutlich mehr Angaben abfragen, bevor eine zweite Karte bestellt werden kann. Diese Verschärfung führte einem Sprecher des LKA Niedersachsen dann auch dazu, dass auf diesem Weg gerittene Onlinebanking-Attacken quasi von der Bildfläche verschwunden sind. Dem Sprecher zufolge führt allein die Vorgabe, dass die neue Karte nur an die im Kundenprofil hinterlegte Rechnungsanschrift versendet werden darf, zu deutlich mehr Schutz.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Dass aber auch das einzelne Täter nicht von ihrem Vorhaben abhält, sich der Karte zu bemächtigen, weiß Ulrich Jahns von der Polizeidirektion Hannover: Ihm sind sechs Fälle bekannt, in denen die Kriminellen den Versand der Dual-SIM einleiteten und anschließend die Briefkästen ihrer Opfer überwachten. Nach Einwurf des Briefs mit der Karte knackten Sie den Postkasten – für die Opfer ohne ersichtlichen Grund, da diese ja nichts von der unverlangt verschickten Karte wussten. In einem Fall setzten die Täter sogar per Spraydose eine Überwachungskamera außer Kraft, die in der Nähe der Postkästen angebracht war. Teilweise folgten diesem Einsatz roher Gewalt digitale Raubzüge, die Schäden in fünfstelliger Höhe nach sich zogen.
Teil 1 sagt, warum sich Onlinebanking für Cyberkriminelle lohnt: Es ist gar nicht so schwer, Überweisungen von fremden Konten freizuschalten. Teil 2 schildert, wie sich die Banking-Trojaner einschleichen und warum Money Mules so schwer zu finden sind. Ein Sonderbeitrag erklärt genauer, wie die Gangster per Dual-SIM-Karte die SMS mit der mTAN abfischen.
… klappt aber immer noch
Vor solcher Brachialgewalt sind Dual-SIM-Karten ebenso wenig sicher wie vor einer weiteren Gefahr: Die Prüfung der nun verlangten Angaben obliegt nach wie vor den Mitarbeitern in den Callcentern und Ladengeschäften. Während die Angestellten in den Telefonzentralen und Provider-eigenen Läden normalerweise peinlich genau darauf achten, dass sich der Kunde mit den erforderlichen Angaben legitimiert, sieht das bei Verkaufsständen in Einkaufspassagen oder Elektrofachmärkten vermutlich anders aus. Personen, die mit den Gegebenheiten dort vertraut sind, äußerten gegenüber dem Fachmagazin c’t Zweifel, dass sich die oft von Agenturen gestellten Promotoren, die im Namen der Netzbetreiber Verträge verkaufen sollen, z.B. im hektischen Weihnachtsgeschäft die Zeit nahmen, alle Angaben zu überprüfen.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing